OSSEC日志泛化及告警原则配置
发布时间:2022-05-09 09:46:50 所属栏目:安全 来源:互联网
导读:OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。 OSSEC日志泛化及告警规则配置 1. 测试和验证OSSEC泛化及告警规则 OSSEC默认具有一个ossec-logtest
OSSEC是一款开源的多平台的入侵检测系统,可以运行于Windows, Linux, OpenBSD/FreeBSD, 以及 MacOS等操作系统中。包括了日志分析,全面检测,root-kit检测。 OSSEC日志泛化及告警规则配置 1. 测试和验证OSSEC泛化及告警规则 OSSEC默认具有一个ossec-logtest工具用于测试OSSEC的泛化及告警规则。该工具一般默认安装于目录 /var/ossec/bin 中。 使用示例: 复制 /var/ossec/bin/ossec-logtest 2014/06/1113:15:36 ossec-testrule: INFO: Reading local decoder file. 2014/06/11 13:15:36 ossec-testrule: INFO: Started (pid: 26740). ossec-testrule: Type one log per line. Jun 10 21:29:33 172.16.25.122/172.16.24.32 sshd[24668]: Accepted publickey for root from 172.16.24.121 port 38720 ssh2 **Phase 1: Completed pre-decoding. full event: 'Jun 10 21:29:33 172.16.25.122/172.16.24.32 sshd[24668]: Accepted publickey for root from 172.16.24.121 port 38720 ssh2' hostname: '172.16.25.122/172.16.24.32' program_name: 'sshd' log: 'Accepted publickey for root from 172.16.24.121 port 38720 ssh2' **Phase 2: Completed decoding. decoder: 'sshd' dstuser: 'root' srcip: '172.16.24.121' **Phase 3: Completed filtering (rules). Rule id: '10100' Level: '4' Description: 'First time user logged in.' 该条日志经过三步处理,生成了一条4级告警,规则ID为10100,内容为“First time user logged in.” (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐